Klikając „Akceptuj wszystkie pliki cookie”, zgadzasz się na przechowywanie plików cookie na swoim urządzeniu w celu ułatwienia nawigacji po stronie, analizy korzystania ze strony oraz wspierania naszych działań marketingowych. Zobacz naszą Politykę prywatności, aby uzyskać więcej informacji.
PreferencjeOdrzućAkceptuj
+48 506 055 412
Powrót na stronę główną bloga
Artykuł

NIS2 a Ciągłość Działania w Energetyce – Od Zgodności do Rzeczywistej Odporności Operacyjnej

Autor/ka
Renata Davidson
facebook-icon
linkedin-icon

Ekspertka zarządzania kryzysowego i ciągłości działania

NIS2 to nie kolejny zestaw wymogów – to wezwanie do działania. W energetyce stawką jest nie tylko cyberbezpieczeństwo, ale zdolność do nieprzerwanego świadczenia usług w świecie pełnym zagrożeń. Sprawdź, dlaczego dotychczasowe podejście już nie wystarcza i co naprawdę oznacza odporność operacyjna.

Zbyt techniczne podejście? Czas wrócić do sedna – odporność operacyjna

Dla wielu doświadczonych menedżerów i specjalistów w sektorze energetycznym, dyskusje wokół dyrektywy NIS2 mogą momentami brzmieć jak powtórzenie znanych prawd. Zarządzanie ryzykiem, plany awaryjne, ochrona infrastruktury – to przecież elementy, z którymi branża mierzy się od lat.

Często pojawiające się oferty i materiały skupiają się na technicznym cyberbezpieczeństwie, tłumaczeniu przepisów czy zarządzaniu incydentami, pomijając czasem sedno sprawy, które NIS2 tak naprawdę wzmacnia: zapewnienie niezakłóconego świadczenia usług energetycznych poprzez kompleksową odporność operacyjną.

Od dokumentu w sejfie do żywego procesu zarządzania ryzykiem

Prawdą jest, że sektor energetyczny, jako infrastruktura krytyczna, od dawna posiada rozbudowane systemy zarządzania kryzysowego i plany ochrony. Jednak NIS2, wraz z powiązanymi regulacjami jak DORA (dla niektórych podmiotów) i dyrektywa CER, wprowadza istotne zmiany w podejściu, które wykraczają poza dotychczasowe ramy. Nie chodzi już tylko o posiadanie planu na wypadek "W" czy planu ochrony infrastruktury krytycznej leżącego w sejfie. Dyrektywa wymusza spojrzenie na ciągłość działania jako dynamiczny, zintegrowany proces, nierozerwalnie związany z codziennym zarządzaniem ryzykiem cybernetycznym i operacyjnym.

Zakres obowiązków – wszystkie usługi pod lupą

Jednym z kluczowych wyzwań, które NIS2 uwypukla, jest kwestia zakresu. Dotychczasowa ustawa o KSC pozwalała skupić się na zdefiniowanych "usługach kluczowych". Tymczasem wytyczne Komisji Europejskiej do NIS2 (dotyczące art. 4 i obowiązków z art. 21) wskazują jasno: wymagane środki zarządzania ryzykiem, w tym BCM i zarządzanie kryzysowe, dotyczą wszystkich usług świadczonych przez podmiot kluczowy lub ważny. Dla firmy energetycznej oznacza to konieczność objęcia analizą i planowaniem nie tylko samego procesu wytwarzania, przesyłu czy dystrybucji energii, ale całego ekosystemu procesów i systemów (zarówno IT, jak i OT), które umożliwiają dostarczenie usługi do odbiorcy końcowego – tak, jak on ją postrzega. Rodzi to pytania o procesy wsparcia, systemy bilingowe, obsługę klienta czy zarządzanie łańcuchem dostaw – czy one również muszą być częścią spójnego planu odporności? Zgodnie z duchem NIS2, odpowiedź brzmi: tak, jeśli ich zakłócenie może wpłynąć na ciągłość świadczenia podstawowej usługi.

Zintegrowanie planów – jak uniknąć chaosu dokumentacyjnego?

Kolejnym praktycznym problemem, z którym mierzy się wiele organizacji energetycznych, jest mnogość istniejących planów: BCP, DRP, plany ochrony IK, plany reagowania na incydenty, plany zarządzania kryzysowego, czasem odrębne dla IT i OT. NIS2 nie nakazuje tworzenia jednego monolitycznego dokumentu, ale wymaga, by podejście do zarządzania ryzykiem i ciągłością było spójne i zintegrowane. Oznacza to konieczność przejrzenia istniejących planów, wyeliminowania niespójności, zdefiniowania jasnych powiązań i mechanizmów uruchamiania oraz zapewnienia, że wszystkie one składają się na całościową strategię odporności. Wyzwaniem staje się również kwestia potencjalnej klauzuli poufności dla dokumentacji wymaganej przez nową ustawę o KSC, co może utrudnić operacyjne wykorzystanie planów przez zespoły, które nie mają odpowiednich poświadczeń.

Ocena ryzyka – nie tylko norma, ale realne podstawy działania

W kontekście zarządzania ryzykiem, NIS2 również podnosi poprzeczkę. Choć polski projekt ustawy usuwa bezpośrednie odwołanie do ISO 22301 w kontekście BCM, a skupia się na ISO 27001 dla systemu zarządzania bezpieczeństwem informacji, to wymóg stosowania "odpowiednich i proporcjonalnych środków" opartych na ryzyku pozostaje centralny. Kluczowe staje się przeprowadzenie kompleksowej oceny ryzyka, która nie ogranicza się do analizy BIA pod kątem strat finansowych czy wizerunkowych, ale uwzględnia przede wszystkim wpływ zakłóceń na świadczone usługi energetyczne i potencjalne skutki dla odbiorców oraz całego systemu. Analiza ta musi obejmować pełne spektrum zagrożeń – od cyberataków na systemy IT/OT, przez awarie techniczne, błędy ludzkie, po zagrożenia fizyczne i problemy w łańcuchu dostaw (w tym ryzyka związane z dostawcami wysokiego ryzyka). Wyniki tej oceny powinny być realnym uzasadnieniem dla przyjętych strategii ciągłości działania i poziomu inwestycji w zabezpieczenia.

Od cyberbezpieczeństwa do wartości biznesowej – nowa rola odporności

Podsumowując, dla sektora energetycznego NIS2 to nie rewolucja, ale ewolucja w kierunku głębszej integracji i szerszego spojrzenia na odporność. To sygnał, że cyberbezpieczeństwo nie jest celem samym w sobie, lecz narzędziem do zapewnienia fundamentalnej misji – niezakłóconych dostaw energii. Wyzwania leżą w przejściu od silosowego zarządzania poszczególnymi planami i ryzykami do stworzenia spójnego, obejmującego wszystkie usługi systemu zarządzania odpornością operacyjną. To wymaga nie tylko dostosowania dokumentacji, ale przede wszystkim zmiany kultury organizacyjnej i strategicznego podejścia, w którym ciągłość działania jest postrzegana jako kluczowy element wartości biznesowej i zobowiązanie wobec społeczeństwa.

Najnowsze artykuły:

Zaskakująca skuteczność Rosjan – przypadek?
Dzięki reakcji na zgłoszenie Sygnalistów Adidas chroni reputację i wizerunek
Zarządzanie Ciągłością Działania wg NIS2
Niemcy i Skandynawia przygotowują obywateli do wojny. Czy my też powinniśmy o tym myśleć?
Plecak ewakuacyjny – czy warto się przygotować?

Kategorie:

Geopolityka a biznes
Ochrona ludności
Bezpieczeństwo łańcucha dostaw
Zarządzanie kryzysowe
Incydenty
Testy
Szkolenia
Wydarzenia
Komunikacja kryzysowa
Audyt
Zarządzanie ryzykiem
Sygnaliści
Zgodność
Cyberbezpieczeństwo
Ciągłość działania

Oferta Davidson Consulting:

Business ContinuityZarządzanie ryzykiemCyberbezpieczeństwoRozmowy o ryzykuRaporty

Najnowsze artykuły

Wyobraź sobie: nagły kryzys, konieczność ewakuacji dziesiątek tysięcy ludzi. Czy nasze plany są wystarczające?
Czytaj dalej
Video artykuł

Jak działa masowa ewakuacja?

Video artykuł
Administracja publiczna
Katastrofa w Parku Narodowym może być punktem wyjścia do analizy w kontekście zarządzania kryzysowego i ciągłości działania
Czytaj dalej
Case Study

Pożary w Biebrzańskim Parku Narodowym

Case Study
Ekologia
Ukryte Moduły w Inwerterach Fotowoltaicznych i Magazynach Energii – Czy Twoja Firma Jest Gotowa?
Czytaj dalej
Artykuł

Niewidzialne Zagrożenia

Artykuł
Energetyka
Nie mamy wątpliwości, że wszyscy już słyszeliście o trwającym cyberataku na brytyjskiego giganta handlowego Marks & Spencer.
Czytaj dalej
Artykuł

Atak na Marks & Spencer – kolejna lekcja, której nie możemy zmarnować

Artykuł
Przejdź do wszystkich wpisów